Tsundere Bot : la nouvelle machine à accès initiaux de TA584

L’accès initial reste au cœur des activités malveillantes numériques : dans l’écosystème cybercriminel, il occupe une position centrale, permettant de lancer des attaques après avoir jeté une tête de pont sur le système d’information d’une victime en devenir qui s’ignore encore.

Celui que Proofpoint suit sous la référence TA584 depuis novembre 2020 compte les spécialistes du sujet, les courtiers en accès initiaux. Au fil des ans, il a su s’adapter : « ses campagnes antérieures suivaient des schémas relativement prévisibles par rapport à la diversité des techniques observées en 2025. L'un des changements les plus notables dans l'activité de TA584 en 2025 est la rapidité avec laquelle les campagnes sont lancées, modifiées et abandonnées ».

Ainsi, explique Proofpoint, « l'acteur est actif depuis plusieurs années, mais ses activités antérieures suivaient généralement des schémas à plus long terme, avec une réutilisation prolongée des infrastructures, des leurres et des mécanismes de diffusion. En revanche, l'activité de 2025 se caractérise par un taux de rotation élevé des campagnes et une durée de vie opérationnelle courte ».

Sans compter un accroissement global de l’activité observée avec au moins 20 campagnes par mois, fin 2025, soit près de 4 fois plus qu’au printemps précédent : « dans de nombreux cas, les campagnes individuelles ne sont restées actives que pendant une courte période (quelques heures à quelques jours) avant d'être remplacées ou considérablement modifiées. Au lieu d'affiner une seule chaîne d'attaques réussies, TA584 privilégie l'itération continue, passant rapidement d'une tactique, technique et procédure (TTP) à une autre, même lorsque les campagnes précédentes restaient efficaces ».

Les observations de Proofpoint se concentrent sur la spécialité de l’éditeur : le courrier électronique : « l'analyse suit l'activité depuis la livraison initiale du message jusqu'à l'exécution du logiciel malveillant. Cette perspective permet de voir comment TA584 adapte ses techniques d'ingénierie sociale, son infrastructure de distribution et la livraison de sa charge utile au fil du temps, tout en identifiant les comportements d'exécution qui restent cohérents malgré d'autres changements ».

La spécialité de TA584 ? Usurper l’identité de tiers, comme des agences de travail temporaire, par exemple, mais pas uniquement : « en 2025, l'acteur envoyait le plus souvent des e-mails à partir d'expéditeurs individuels compromis […] TA584 envoie également occasionnellement des e-mails via des fournisseurs de services de messagerie électronique tiers tels que SendGrid et Amazon Simple Email Service (SES). Cela implique probablement l'utilisation d'identifiants volés pour créer ou prendre le contrôle de comptes ESP, puis authentifier le domaine compromis pour l'envoi ».

Dans tous les cas, « comme les e-mails proviennent d'expéditeurs authentifiés et anciens et varient considérablement en termes d'objet et d'URL, il peut être difficile de suivre et de regrouper de manière fiable ces campagnes en se basant uniquement sur les caractéristiques des e-mails ».

En juillet dernier, TA584 s’est mis à la technique dite « ClickFix » pour piéger ses victimes et compromettre leurs postes. Il s’agit là de déployer la charge utile qui permettra d’établir l’accès initial : « la charge utile actuellement distribuée est XWorm […] Cependant, fin novembre et tout au long du mois de décembre 2025, TA584 a également distribué un nouveau malware appelé Tsundere Bot ». 

Auparavant, l'acteur avait été observé en train de distribuer les charges utiles suivantes pour l'accès initial : « Ursnif (2020-2022), LDR4 (2022-2023), WarmCookie (2024), Xeno RAT (2024) et Cobalt Strike (2024). TA584 a également utilisé DCRAT dans une campagne en septembre 2025, ce qui constituait une exception notable ».

Tsundere Bot utilise WebSockets pour communiquer avec ses serveurs de commande et de contrôle (C2). Surtout, il exploite la technique dite d’EtherHiding pour retrouver ces serveurs et sa configuration.